Kürzlich veröffentlichte Cyber-Ark, ein Hersteller von Produkten für Identity-Management und sichere Datenaustausch, eine Studie mit brisanten Zahlen. Zwar sind Herstellerstudien immer etwas kritisch zu bewerten, interessante Informationen finden sich in ihnen aber fast immer.

Nicht zuletzt aufgrund der Wirtschaftskrise sinkt die Loyalität der ITler rapide und hat sich die Bereitschaft von IT-Beschäftigen, wichtige Firmeninterna ihres Arbeitgebers zu stehlen beträchtlich erhöht. Etwa bei Fusionsplänen von 7% (2008) auf 47% (2009), bei Forschungs- und Entwicklungsdaten von 13% auf 46% und bei privilegierten Passwörtern von 11% auf 46%.

Zwar basiert die Studie „Trust, Security & Passwords“ mit ihren zentralen Fragen nach Datendiebstahl und dafür in Frage kommenden Informationsarten lediglich auf der Befragung von etwa 400 IT-Mittelmanagern.

Aber es klingt durchaus plausibel, dass Firmen die einerseits zweistellige Renditen und 7-8-stellige Vorstandsgehälter anstreben und andererseits Beschäftigte entlassen oder kurz und kleinsparen, sich nicht mehr auf die Loyalität ihrer Leute verlassen können. Insbesondere wenn sich dort auch externe Mitarbeiter (Consultants, Leihkräfte etc.) mit entsprechender “Söldnermentalität” sowie Praktikanten und befristet Beschäftigte in Größenordnungen die Klinke in die Hand geben.

Datenklau und Betriebsgeheimnisverrat als Form der „autonomen Lohnerhöhung“? Das dürfte die ohnehin von Datenschutzskandalen gebeutelten Firmen nun wirklich im unpassendsten Moment treffen.

20% der befragten Firmen gaben in der Studie an, bereits Opfer von Insider-Sabotage geworden zu sein, wie auch der Fachinformationsdienst IT-Grundschutz kürzlich berichtete.

Und viele der Firmen rüsten sich sicherheitstechnisch auf. Überwachte Admin-Accounts, verbessertes Rechte- und Rollenmanagement, Zutrittskontrollen und Videoüberwachung hochsensibler Firmenbereiche. Sowie der Einsatz von speziellen Produkten wie z.B. virtuelle sichere Datenräume oder Enterprise Rights Management (eine Art firmeninternes DRM), um nur noch sicheren, überwachten und (für sie Firma) transparenten Datenaustausch zuzulassen.

Das eigentliche Problem scheint aber nicht im Bereich der Technik sondern im Umgang mit den Mitarbeitern und der generellen Unternehmenspolitik zu liegen. Und dort ist es allein mit sicherheitstechnischen Maßnahmen auch nicht zu lösen. Verdorbenes Fleisch wird bekanntlich durch Zugabe von Likör auch nicht besser.

Dumm nur, dass sich die “Schadwetware” in den Flanelletagen der Unternehmen mit Virenscannern und Pen-Tests nicht wirkungsvoll bekämpfen lässt. Obwohl hier z.B. Betriebsräte bei der Mitbestimung im Rahmen der Inbetriebnahme technischer Schutzmaßnahmen durchaus in der Lage wären, auch eine entsprechende Anpassung unternehmenspolitischer Rahmenbedingungen zu fordern und auch durchhzusetzen.

Eine Zusammenfassung der Studienergebnisse kann man sich bei Cyber-Ark kostenlos herunterladen.

Warum viele auf Identitätsmanagement abfahren und sich davon einen Sicherheitsgewinn erhoffen, habe ich mich schon früher gefragt. Ein Teilproblem dabei: was ist eigentlich die Identität einer Firma oder Organisation? Warum das ein Problem ist, illustrieren jetzt ausgerechnet Verbraucherschützer, die uns beim Schutz vor Phishing helfen möchten. Sie geben die üblichen Tipps – und illustrieren ihre Erklärung über SSL ausgerechnet mit einer URL-Zeile der Dresdner Bank:

Die ist seit kurzem eine Marke der Commerzbank, und das zeigt der Browser auch an. Formal ist das völlig korrekt, aber dem Bankkunden hilft diese zertifizierte Identitätsinformation nur bedingt weiter. Oder gelten SSL-Zertifikate nur in Verbindung mit Nachrichten aus dem Wirtschaftsteil?

Übrigens muss der arme Nutzer nicht nur zwischen Unternehmen und Marken unterscheiden, sondern auch zwischen echten und weniger echten Warnungen. Wer bei der Adresseingabe das Präfix www vergisst, dem macht die Technik unnötig Angst:

Auch dies ist formal völlig korrekt, hilft dem Nutzer aber nicht weiter. Er kann aus solchen Beobachtungen kein einfaches, konsistentes Sicherheitsmodell entwickeln. Verbraucherportale mit wohlmeinenden Tipps ändern daran nichts und lösen deshalb auch das Problem nicht.

Kürzlich schrieb mich meine Krankenkasse an und bat um ein Passbild für die demnächst ausgegebene elektronische Gesundheitskarte (eGK). An sich ein guter Anlass, sich etwas genauer mit diesem bereits seit Jahren laufenden Projekt zu beschäftigen, das federführend von einer speziell dafür gegründeten Projektgesellschaft, der Gematik GmbH vorangetrieben wird.

Die eGK ist ein weiteres staatliches IT-Großprojekt, das bereits seit Jahren mit explodierenden Kosten, übermäßiger Komplexität, politischen Querelen sowie sicherheits- und datenschutztechnischen Problemen kämpft.

Die Ärzte misstrauen der eGK, da sie einerseits administrative Mehraufwände in ihrem Tagesgeschäft befürchten und andererseits dem Streben der Krankenkassen nach mehr Transparenz bei den Leistungserbringern im Gesundheitswesen durch zentrale Datenspeicherung kritisch gegenüberstehen.

Der Chaos Computer Club kritisiert die Einführung der eGK, da notwendige Feldtests zur Evaluation aufgrund von Fehlplanungen nicht wie vorgesehen durchgeführt wurden und weist auf unkalkulierbaren Risiken und Nebenwirkungen des Experiments durch nicht hinreichend durchdachte und getestete Software hin.

Und die Gesellschaft für Informatik fordert eine erweiterte Risikoanalyse, insbesondere hinsichtlich bestehender Probleme beim Umgang mit Gesundheits- und Patientendaten sowie dem informationellen Selbstbestimmungsrecht des Einzelnen.

„Die Gesundheitskarte darf insbesondere im Hinblick auf das Vertrauen in die Informationstechnik in Deutschland nicht zu einem ähnlichen Desaster wie der erste Versuch von Toll Collect werden“, warnte der ehemalige GI-Präsident Matthias Jarke bereits 2005 in Hannover und lies darin berechtigte Skepsis gegenüber staatlichen IT-Megaprojekten anklingen.

Und bereits seit Längerem wird über Art und Umfang von Feldtests der eGK gestritten. Testen ist teuer. Daher wurde z.B. der sog. „100.0000er Test“ mit einer entsprechend großen Menge an teilnehmenden Karten in mehreren Testgebieten kurzerhand gestrichen, um Kosten zu sparen.

Passenderweise wurde kürzlich ein erneuter größerer Lapsus bekannt. Für die Datensicherheit bei der eGK werden u.a. Zertifikate und eine eigene Public-Key-Infrastruktur verwendet. Dazu gibt es zur Authentifizierung auf den Karten ein Card-Verifiable-Zertifikat (CV-Zertifikat), das in letzter Instanz von einer Root Certificate Authority (Root-CA) abhängt. Alle eGK-Kartenhersteller beziehen sich auf diese Root-CA, wenn sie CV-Zertifikate auf ihren Karten anbringen.

Öffentliche und private Schlüssel werden darin von einem Hochsicherheitsmodul (HSM, einer besonders leistungsfähigen Smartcard mit eigenem Prozessor und Zufallszahlengenerator) erzeugt und gespeichert. Mit einer Backup-Prozedur werden diese Daten gespeichert. Zudem , verfügt das HSM über einen Softwareschutz, der Angriffe erkennen und das System bei Anomalitäten (fehlerhafte PIN-Eingaben, Spannungsabfälle etc.) herunterfahren soll.

Klingt an sich wie eine „sichere Sache“. Um diesen Teil der Infrastruktur zu betreiben, vergab die Gematik dies als Auftrag an den Dienstleister D-Trust. Und dort rauchte das Hochsicherheitsmodul dann ab.

Genauer gesagt tat es das, was es bei Störfällen tun sollte: Sich geordnet herunterzufahren und seine Daten zu löschen. Matthias Merx, Geschäftsführer von D-Trust dazu „Das HSM hat eigenständig die Daten gelöscht, weil es einen Angriff vermutete“.

Nicht weiter schlimm möchte man meinen. Wieder hochfahren, letztes Backup einspielen und das Ding läuft wieder. Dumm nur dass es gar kein Backup gab.

Denn die Gematik hatte in der Beauftragung des Dienstleisters wohl das regelmäßige Anlegen von Sicherheitskopien aus Kostengründen gestrichen. Was deren Sprecher Daniel Poeschkens wiederum bestreitet: „Wir haben uns nicht gegen einen Backup-Dienst entschieden. Vielmehr ist es so, dass der Dienstleister den Betrieb des Testsystems übernommen und auch den fortlaufenden Betrieb zu gewährleisten hat. Wie er dieser Verpflichtung nachkommt, obliegt seiner Verantwortung“.

Sieht so aus wie einer jener Konflikte, die häufig nach Schadensfällen aus der unterschiedlichen Auslegung vertraglicher Vereinbarungen entstehen.

Daher musste die Gematik an ihre derzeitigen Testpartner in NRW ein peinliches Rundschreiben rausschicken: „In der Konsequenz heißt dies, dass zu den derzeit im Umlauf befindlichen korrekten eGK-Musterkarten der Generation 1 insbesondere keine Muster-HBA der Generation 1 mehr produziert werden können, die mit den bereits existierenden eGKs eine erfolgreiche Card-to-Card-Authentifizierung durchführen können. Bitte beachten Sie daher, dass die für den nordrheinischen Interoperabilitätstest verteilten korrekten Muster-eGKs ausschließlich für Tests im Basis-Rollout-Szenario verwendet werden können und nach den Basis-Rollout-Tests zu vernichten sind. Obwohl die Muster-eGKs korrekt sind, müssen sie für Tests in künftigen Stufen der Telematik-Infrastruktur noch einmal ersetzt werden.“

Was da technokratisch verschwurbelt steht, bedeutet im Klartext: “Wir haben unsere PKI geschrottet und jetzt ist eine neue fällig. Leider funktionieren damit eure Karten zum Teil nicht mehr. Daher dürft ihr sie jetzt wegwerfen und bekommt von uns neue”.

Dumm gelaufen!

Halte Dein Backup in Ehren – Du könntest es noch mal brauchen…

Der gutsortierte Werkzeugkasten jedes Hackers enthält auch Tools zum Wiederherstellen verlorener Passwörter, sog. Password-Cracker oder Password-Recovery-Tools. Besitzt der nach einem Passwort Suchende keine weiteren Informationen über dessen Aufbau so kann er aus verschlüsselten Passwörtern oder Hashes grundsätzlich auf zwei Wegen wieder die Originale zurückgewinnen: Per Brute-Force-Angriff oder mit Hilfe einer Wörterbuchattacke.

Beim Brute-Force-Angriff werden einfach alle möglichen Kombinationen als Passwortlängen und möglicher Zeichen ausprobiert, bis eines passt. Das kann u.U. sehr lange dauern, insbesondere wenn es um sehr lange Passwörter geht, denen ein großer Vorrat zulässiger Zeichen zugrunde liegt. Letztlich entscheiden verfügbare Rechenkapazitäten und die Zeiträume bis zum nächsten Passwortwechsel über die Erfolgschancen eines solchen Angriffs.

Dagegen werden bei einer Wörterbuchattacke die zu testenden Passwörter einer Wörterbuchdatei entnommen, oftmals einer Liste gern genutzer Begriffe wie Personen- und Städtenamen oder dem Abzug eines Lexikons. Selbst Millionen von Begriffen lassen sich mit Hilfe heutiger Rechner in überschaubarer Zeit durchtesten (s.a. Die Grafikkarte als Passwort-Cracker).  Wörterbuchangriffe sind demnach auch ein gutes Mittel um die Stärke der verwendeten Passwörter von Benutzeraccounts zu testen. Erzielen sie in einer zu testenden Gruppe von Zugängen mehrere Treffer, wäre über die Passwortrichtlinie (Aufbau und Mindestlänge der zulässigen Passwörter) erneut nachzudenken.

Sébastien Raveau, ein französischer Berater für Informationelle Kriegsführung weist in seinem Blog „Tricks of the Trade“ darauf hin, dass herkömmliche Wortlisten aus klassischen Wörterbüchern und Rechtschreibkorrekturprogrammen viele Alltagswörter, Namen und Begriffe nicht enthalten, die Menschen bei der Wahl von Kennwörtern in den Sinn kommen.

Cracking passwords with Wikipedia, Wiktionary, Wikibooks etc

Anwender wählen gern Begriffe aus ihrer unmittelbaren Umgebung, etwa Produktnamen, Orte oder den Namen eines häufiger genutzten Geschäfts, so der Experte. Allein in der Wikipedia findet man nahezu jedes denkbare Wort, so der Experte. Einige aus Wikipedia extrahierte Wortlisten in diversen Sprachen haben nach seinen Angaben bereits ausgereicht, um „unzählige Passwörter in Windeseile zu knacken, die mit Brute-Forcing nicht zu erreichen gewesen wären“.

Der gängige Tipp, keine Wörter zu verwenden, die etwa im Duden oder in Lexika auftauchen, sollte demnach in den Passwortrichtlinien von Unternehmen deutlich strikter gefasst werden.

So enthält die Wikipedia Umgangssprache, Verballhornungen, Fachterminologie, Produkt- und Firmennamen samt absichtlicher und unabsichtlicher Schreibfehler in Hülle und Fülle. Begriffe die man in dieser Aktualität in keinem gedruckten Lexikon findet. Sich für Passwörter allein auf natürliche Sprache zu verlassen, ist ohnehin eine schlechte Idee.

Raveau führt aber auch zahlreiche andere Wiki- und Web-2.0-basierte Dienste an, aus denen sich Listen für Wörterbuchattacken generieren lassen. Diese kann der Nutzer dann z.B. in frei erhältliche, quelloffene Passwort-Cracker-Tools wie John the Ripper o.ä. importieren und einsetzen.

Gute Kennwörter enthalten eine ausreichend lange Zufallskomponente kombiniert mit Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen. Aufgrund ihrer schwereren Merkbarkeit führen sie aber leider auch oft zu neuen Sicherheitslücken, wie dem fast schon legendären Klebezettel unter der Tastatur.

Wirklich wichtige Informationen sollten daher stets auch mit anderen, nicht allein auf Passwörtern basierenden, Schutzmechanismen geschützt werden.

Jeder Passwortschutz lässt sich grundsätzlich dadurch überwinden, dass man alle zulässigen Zeichenkombinationen für das Passwort nacheinander ausprobiert, bis das richtige gefunden ist (Brute-Force-Angriff). Ist das Passwort allerdings lang und sind als Zeichen neben Groß- und Kleinbuchstaben auch Zahlen und Sonderzeichen zulässig, kann das dauern, weil grundsätzlich Millionen oder gar Milliarden Kombinationen möglich sind.

Anmeldepasswörter zur Authentifizierung werden heute meist mit Hilfe von Einwegfunktionen in Hashwerte umgewandelt. Auch wenn jemand den Hashwert kennt, müsste er daraus erst mit Hilfe verschiedener Methoden, wie z.B. dem erwähnten Brute-Force-Angriff versuchen, das gewünschte Passwort im Klartext wiederherzustellen, bevor er es nutzen kann.

Auch hier taucht wieder das Problem auf, dass sehr viel berechnet und getestet werden muss, bevor ein Ergebnis vorliegt. Das machte „starke Passwörter“ relativ sicher, da nur wenige ein Rechenzentrum verfügbar haben, um damit eine Nutzerkennung anzugreifen.

Das hat sich mittlerweile durch leistungsstarke Grafikkarten mit zahlreichen parallel rechnenden Grafikprozessoren (GPUs) darauf geändert. Während selbst gut ausgestattete Rechner aktuell „nur“ über 4 oder 8 parallel rechnende Prozessorkerne verfügen, bringt eine Grafikkarte für ca. 200 – 300 € gleich mehrere Hundert davon mit. Frei programmierbar, d.h. die GPUs können nicht nur realistische 3D-Grafiken für Spiele berechnen, sondern eigentlich alles, was man ihnen programmtechnisch abfordert. Also auch Passwort-Hashes. Und sie ermöglichen es damit, auf gängiger Standard-Hardware aus dem Supermarkt für nicht mal 1.000 € Gesamtkosten Rechenleistungen gegen Passwörter einzusetzen, die bis vor kurzem nicht allgemein verfügbar war.

So ließ die ct’ in ihrer aktuellen Ausgabe 6/2009 einen 24-kerbingen Windows-Server (Wert des Systems: ca. 30.000 €) gegen einen Kaufhaus-Gamer-PC mit Dualcore-Prozessor und sportlicher Grafikkarte (Wert des Systems: ca. 800 €) in der Disziplin „Hashes berechnen mit BarsWF“ antreten. Das Ergebnis in Kürze: Pro Kern berechnet der 24-Kern-Server knapp 50 Millionen Hashes / Sek. und kam auf eine Gesamtleistung von etwa 1,2 Mrd. Hashes / Sek.

Das Gamer-System lieferte in der gleichen Zeit etwa 0,9 Mrd. Hashes, wovon gut zwei Drittel von der Grafikkarte beigetragen wurden. Und das für ein Zwanzigstel des Preises des Servers. Noch dazu ist es grundsätzlich möglich, mehrere solche Systeme parallel rechnen zu lassen und die Suche nach dem richtigen Hash so weiter zu beschleunigen.

Dieser Fortschritt in der GPU-Technik ermöglicht es einzelnen PC-Benutzern nicht nur immer anspruchsvoller visualisierte Spiele zu spielen sondern auch komplexe parallel-rechnende Spezialprogramme am Home-PC einzusetzen. Oder eben auch Milliarden von Passwörtern durchzuprobieren.

s.a. Faster Password Recovery with modern GPUs (Vortrag von Andrey Belenko, ElcomSoft, PDF, 750 KB auf der Troopers 08 in München)

Gerade für Firmen bedeutet das Wissen um diese Weiterentwicklung der Technik (Verfügbarkeit massiv-parallel rechnender Systeme für die breite Masse), dass Passwort-Richtlinien entsprechend überarbeitet werden müssen. Mindestlänge und geforderte Zeichenvielfalt wären heraufzusetzen. Während z.B. ein sechsstelliges Passwort, bestehend aus Groß- und Kleinbuchstaben schon in Minutenschnelle gecrackt ist, muss für ein achtstelliges immer noch Wochen und für ein elfstelliges sogar Jahrhunderte gerechnet werden. Das schließt zumindest Brute-Force-Attacken relativ sicher aus.

Desweiteren muss mit zunehmender Dringlichkeit darüber nachgedacht werden, wo man die doch unsichere Passwortmethode durch zusätzliche oder andere Technologie ersetzen kann. Themen wie biometrische Zugangssysteme, Tokens statt Passwörter oder ähnliches kämen dann wieder auf die Tagesordnung.

In fast jeder Unternehmens-IT gibt es ein Streben nach maximaler Transparenz. Möglichst viel von dem was die Anwender tun, soll aufgezeichnet, mitgeloggt, vorratsdatengespeichert und zur späteren Auswertung bereitgehalten werden. Für den einzelnen Anwender ist das dagegen wenig transparent. Oft weiß er gar nicht, was das System genau tut und speichert, wozu und wie lange.

Eine sehr mächtige Rolle fällt dagegen den Verwaltern der Unternehmens-EDV zu: den Systemadministratoren. Sie teilen Rechte  und Kapazitäten zu, sorgen für Datendurchsatz und einwandfreies Funktionieren der Systeme (notfalls im 7×24-Schichtdienst), kümmern sich um Probleme, sorgen für die Sicherheit der Daten und Applikationen.

Um dies tun zu können, benötigen sie meist sehr weitreichende Zugriffsrechte auf alle Systeme ihres Zuständigkeitsbereiches. Hinzu kommt, dass die Verwaltung von IT-Infrastruktur zunehmend an externe Dienstleister vergeben wird. Das gesamte Systemmanagement liegt so in den Händen von externen Administratoren. Der Administrator arbeitet dabei in hochkomplexen Serverarchitekturen voller sensibler Daten und dank moderner Technik kann er von außen auf das System zugreifen. Seine Arbeit findet im Hintergrund statt und ist so den meisten internen Kontrollsystemen entzogen.

Aus Sicht einiger Anbieter wie z.B. ToolBox Solution macht das eine neue Form von Kontrolleinrichtung erforderlich: Session Recording, d.h. die Aufzeichnung aller administrativer Aktivitäten einer bestimmten Person an den Systemen durch eine Kombination aus Videoüberwachung und mitgeschnittenen Aktionen (Key-Logging, History).

Der Anbieter beschreibt die Wirkungsweise seiner Videoüberwachungslösung  wie folgt: „Wir machen sichtbar, was IT-Dienstleister – per Remote Access Service also bekanntermaßen unsichtbar – bei Ihnen im Rechenzentrum virtuell anfassen. Wir protokollieren und filmen mit unserer Lösung jeden einzelnen Arbeitsschritt. Damit Sie mit Sicherheit wissen, und anhand eines digitalen Films belegen können, zu welchen Daten und Funktionen die IT-Dienstleister Zugang hatten.  […] Ihr Unternehmen kann anhand des digitalen Films und des schriftlichen Protokolls, die unsere Lösung erstellt, genau nachvollziehen, welche Schritte in welchem Zeitraum ausgeführt wurden. Der IT-Dienstleister hingegen kann dank Film und Protokoll klar belegen, dass er die Leistungen auch tatsächlich erbracht hat. Und exakt nur diese! […] VideoLog stärkt das Vertrauen durch gegenseitige Absicherung und Kontrolle.“

Eine auf Misstrauen basierende Technologie soll also Vertrauen schaffen. Ich halte das für einen mehr als seltsamen Denkansatz (mit dem allerdings auch die Schufa, Deutschlands größte private Datenkrake, wirbt). Da wäre es schon ehrlicher anstatt von Vertrauen von Misstrauen zu reden und das auch offen zuzugeben. Zumal es ja auch hin und wieder gerechtfertigt wäre, der Firma und ihren Admins nicht völlig zu vertrauen – siehe Telekom, Lidl & co.

Andererseits besteht in der Tat ein zunehmender Druck in der täglichen Praxis zu dokumentieren, wer wann was und warum getan hat. Sei es zu Zwecken der Abrechnung. Oder um die Korrektheit und Angemessenheit einer Aktivität nachzuweisen. Hinzu kommen verschärfte Ansprüche hinsichtlich der Revisionssicherheit von IT-Aktivitäten. Auch fordern zertifizierte IT-Sicherheitsmanagementsysteme nach ISO 27.000 oder IT-Grundschutz einen grundsätzlich nachprüfbaren Systembetrieb. Bei der Vergabe an externe Dienstleister kommen zusätzlich noch Fragen  des SLA-Controllings sowie der Abgrenzung von Zuständigkeiten mit hinzu.

Will eine Firma ein solches System einführen, kommen zudem auf deren Betriebsräte und Datenschutzbeauftragte neue Aufgaben hinzu. Denn die Zulässigkeit von Videoüberwachung von Arbeitnehmern ist rechtlich auf solche Fälle begrenzt, wo dies einerseits notwendig (und nicht nur wünschenswert oder sinnvoll) ist und andererseits auch keine alternativen Instrumente mit geringerer Eingriffsintensität zur Verfügung stehen. Immerhin geht es um die Einschränkung eines Grundrechts der betroffenen Beschäftigten, dem sog. Allgemeinen Persönlichkeitsrecht. Und ihre genaue Umsetzung im Betrieb ist zudem mitbestimmungsrelevant, also Sache des Betriebsrats.

Computerzeitung.de: Admins werden mitgeschnitten. Elektronische Aufzeichnung belegt die getane Arbeit

IT-Audit.de: Session Recording mit Filmen und Vier-Augen-Prinzip (PDF)

IHK Trier: Merblatt zur Zulässigkeit der Videoüberwachung von Arbeitnehmern

Onlinerechte-fuer-beschaeftigte.de: Urteilssammlung IT am Arbeitsplatz

Das Dumme an der IT-Sicherheit in Unternehmen ist, dass sie den Handlungsrahmen der Nutzer einschränkt. Sei es dass bestimmte Verhaltensweisen beschränkt oder ganz verboten werden (z.B Internetzugang, seitenlange Policies für so was triviales wie E-Mail), sei es dass Anwendungen weniger leicht zu nutzen sind (ständige Logins, Weck-klick-Abfragen oder verwirrende Zugriffsrechte, die immer dann fehlen oder falsch gesetzt sind, wenn es besonders eilt) oder weil Linienmanager in Fachabteilungen schlicht nicht nachvollziehen können, wofür sie diese oder jene Pauschale intern monatlich verrechnen müssen, wenn ihre Rechner dann doch nicht wirklich 100%ig sicher sind.

Flexibel soll alles sein. Und da sind Regeln und Vorschriften ein Hemmnis – das gilt nicht nur für das Steuer-  oder Arbeitsrecht, über das Firmen gerne klagen, sondern auch für den unternehmensinternen Overhead.

Dumm nur dass die wenigsten Manager eine konkrete Vorstellung davon haben, was sie mit „Flexibilität“ eigentlich meinen. Für die meisten scheint Flexibilität schlicht zu bedeuten, dass sie sich nicht für eine von mehreren Alternativen entscheiden müssen, weil alle Optionen gleichzeitig und dauerhaft verfügbar sind. Andere sehen in dem Begriff mittlerweile sogar ein potentielles Unwort, da er gern zur Bemäntelung von Denkfaulheit und Entscheidungsunwilligkeit missbraucht wird.

Das führt zu einem dauerhaft vor sich hin gärendem unternehmensinternen Konflikt zwischen IT-Sicherheit in IT-Risikomanagement und der allseits geforderten Flexibilität der IT.

Dem Interesse an größtmöglicher IT-Sicherheit steht das Bemühen entgegen, die Flexibilität der IT zu steigern. Sicherheit und Veränderung sind Gegensätze. Veränderung beinhaltet stets auch Ungewissheiten und Risiken.

Steht beispielsweise ein globaler Software-Rollout an, bei dem verschlüsselte Festplatten neu bespielt werden, kann das rasch sehr kompliziert werden und daher viel Geld kosten. Rasch wird daraus ein Riesenprojekt, das Ressourcen bindet, die dann für andere Geschäftsaktivitäten fehlen.

Unterschiedliche Unternehmen benötigen unterschiedliche Sicherheitsstandards. In einer großen Bank gelten andere Anforderungen als in einem Pflegeheim. In Forschung und Entwicklung spielen Sicherheitsstandards eine größere Rolle als in einer Service-Einheit (allerdings bildet die am schwächsten geschützte Einheit meist das größte Einfallstor in den Rest der Firma). Daher werden differenzierte Vorgehensweisen, Strategien und Produkte zur Abdeckung des Sicherheitsbedarfs benötigt.

Übertriebenes Sicherheitsdenken kann dazu führen, dass man Geschäftspotential verliert. Ein todsicheres Unternehmen ist dann auch bald mausetot. Abgesehen davon, dass es „totale Sicherheit“ ohnehin nur in den Marketingprospekten der Security-Anbieter gibt.

Geschäftsnah arbeitende Mittelmanager sind meist offen für Argumente hin zu mehr Flexibilität auch auf Kosten (abstrakter) IT-Sicherheit. Dagegen sehen Geschäftsführer und Vorstände inzwischen eher den Bedarf nach Risikovorsorge und Absicherung. Hier wirken sich die in den letzten Jahren mehrfach verschärften gesetzlichen Auflagen zur Managerhaftung und zum Umgang mit Unternehmensrisiken aus.

Daher ist IT-Sicherheit für viele Manager und CIOs eher eine „lästige Pflicht“, der man sich zwar nicht völlig entziehen kann, die aber auch kaum jemand hinter dem Ofen hervorholt. Aber für immer mehr Unternehmen aller Größenordnungen wird sie wichtiger. Für manche sogar existenzrelevant – wenn das Geschäftsmodell z.B. den Umgang mit sensiblen Kundendaten erforderlich macht und Vertrauen der Kunden und Partner in die eigene Sorgfalt benötigt.

Solange viele CIOs die IT-Sicherheit noch eher als notwendiges Übel sehen, werden wir daher auch weiterhin Datenschutz- und Spitzelskandale der Größenordnung Telekom, Lidl & co. erleben; werden Steuerfahnder mit Hilfe auf dem Schwarzmarkt ergaunerter Daten-DVDs spektakuläre Fälle in die Presse bringen und werden Verbraucher renommierten DAX-Konzernen und ihren Vorständen nicht weiter trauen als den Hütchenspielern in der Fußgängerzone.

Viele Unternehmen neigen zu kurzsichtigen und unüberlegten Management-Entscheidungen. Ganze Branchen leben davon, die Folgen solcher Fehler im Nachhinein zu korrigieren. Das gilt auch für Personalentscheidungen. Jetzt, da sich die Wirtschaftslage wieder zu verschlechtern scheint, denken viele Firmen wieder über den Abbau des vormals als so knapp beklagten Humankapitals nach. Und damit kommt absehbar eine kleine „Sonderkonjunktur“ für die IT-Sicherheit zustande.

Denn sobald Firman anfangen, Mitarbeiter zu entlassen oder auf schlechtere Positionen zu versetzen oder ihnen Sonderzahlungen zu streichen, steigt die Wahrscheinlichkeit des Datenmissbrauchs rapide an. Die Beschäftigten sehen ihren „psychologischen Arbeitsvertrag“ als gebrochen an und brechen dann ihrerseits häufiger firmeninterne Policies.

Dieses Problem wurde in einer vom US-Marktforschungsinstitut InsightExpress im Auftrag von Cisco durchgeführte Studie untersucht. Sie basiert auf der Befragung von mehr als 2.000 Angestellten und IT-Experten in zehn Ländern, darunter auch Deutschland. Als verbreitete Formen des Fehlverhaltens wurden vor allem diese Dinge identifiziert:

1. Geänderte Sicherheitseinstellungen auf Computern
Einer von fünf Mitarbeitern ändert Sicherheitseinstellungen an seinen Arbeitsgeräten, um die IT-Policy zu umgehen und auf unerlaubte Webseiten zuzugreifen. Am häufigsten war dies in Schwellenländern wie China und Indien zu beobachten. Als Gründe dafür gaben mehr als die Hälfte der Befragten an, dass sie einfach die Seite öffnen wollten, ein Drittel meinte, dass es niemanden etwas anginge, welche Seiten sie besuchten.

2. Benutzung von unerlaubten Anwendungen
Sieben von zehn IT-Experten gaben an, dass die Hälfte aller Datenverluste ihres Unternehmens letztlich auf den Zugriff von Mitarbeitern auf unerlaubte Applikationen und Webseiten (z.B. unerlaubte Social Media, Musik-Downloadsoftware, Online Shopping) zurückzuführen ist. Diese Meinung war vor allem in den USA (74 Prozent) und Indien (79 Prozent) verbreitet.

3. Unerlaubter Zugriff auf Netzwerke und Einrichtungen
In den letzten Jahren hatten zwei von fünf IT-Administratoren mit Mitarbeitern zu tun, die unerlaubt auf Teile des Netzwerks oder Einrichtungen zugriffen. Vor allem in China war dies weit verbreitet, dort gaben zwei von drei Verantwortlichen dieses Problem an. Von den Experten, die diese unberechtigten Zugriffe global meldeten, berichteten zwei Drittel von Zwischenfällen im letzten Jahr. 14 Prozent stoßen monatlich auf solche Schwierigkeiten.

4. Weitergeben von vertraulichen Unternehmensinformationen
Dass Geschäftsgeheimnisse nicht immer geheim sind, bestätigt einer von vier befragten Mitarbeitern (24 Prozent), der sensible Informationen mündlich an Freunde, Familie oder andere Außenstehende weitergibt. Als häufigste Gründe wurden angegeben: “Ich brauchte eine Meinung von jemand anderem”, “ich musste mal Dampf ablassen,” und “ich habe daran nichts Falsches gesehen.”

5. Weitergabe unternehmenseigener IT
Vertrauliche Daten sind nicht immer in den Händen der richtigen Leute. Das bestätigt fast die Hälfte (44 Prozent) der Befragten, die Arbeitsgeräte wie PCs oder USB-Sticks ohne Aufsicht mit Außenstehenden teilen oder sie weitergeben.

6. Verschmelzen von geschäftlichem und privatem Gebrauch von Kommunikationsmitteln
Etwa zwei von drei Mitarbeitern geben zu, ihre Arbeitscomputer auch privat zu nutzen. Die persönlichen Aktivitäten reichen von Musik-Downloads, Shopping, Onlinebanking bis hin zum Bloggen und Chatten. Die Hälfte aller Angestellten nutzen private E-Mail-Accounts, doch nur 40 Prozent gaben an, dass dies von der IT-Abteilung genehmigt ist.

7. Ungeschützte Arbeitsgeräte
Einer von drei Mitarbeitern sperrt seinen Computer nicht oder loggt sich nicht aus, wenn er seinen Arbeitsplatz verlässt. Diese Personen lassen auch Laptops mitunter über Nacht auf Ihrem Schreibtisch – teilweise ohne sich auszuloggen – und erhöhen somit das Risiko, dass Diebe an geschäftliche und private Daten kommen.

8. Aufheben von Logins und Passwörtern
Einer von fünf Befragten speichert Logins und Passwörter auf seinem Computer oder schreibt sie auf und lässt sie am Schreibtisch oder am PC kleben. In einigen Ländern wie China gaben 28 Prozent der Mitarbeiter an, Passwörter zu ihren Bank-Accounts auf Ihren Arbeits-PCs zu speichern. Zusammen mit der Tatsache, dass einige Angestellte ihre Computer unbeaufsichtigt lassen, erhöht das Risiko, dass Identitäten und Passwörter ausspioniert werden.

9. Verlust von tragbaren Speichermedien
22 Prozent des befragten Personals nehmen Unternehmensdaten auf tragbaren Speichergeräten aus dem Büro mit. Vor allem in China ist dies gang und gebe (41 Prozent). Dieses Vorgehen erhöht das Risiko, dass die Geräte verloren oder gestohlen werden.

10. Zulassen von unberechtigtem Betreten des Firmengeländes
Etwa einer von fünf deutschen Mitarbeitern erlaubt es Firmenfremden, sich unbeaufsichtigt in Büroräumen aufzuhalten – der Durchschnitt der gesamten Studie lag bei 13 Prozent. Und 18 Prozent haben es zugelassen, dass unbekannte Personen von anderen Mitarbeitern die Unternehmensräume betreten.

Der Sicherheitsberater Matt Doherty empfiehlt IT-Managern auf ungewöhnliche Verhaltensmuster von Mitarbeitern zu achten. Etwa plötzliche Überstunden ohne ersichtlichen Grund, die Forderung nach erweiterten Rechten in IT-Systemen zur Erledigung (angeblich) zusätzlicher Aufgaben oder umfangreiche Mails die jemand an sich selbst verschickt.

Auch der kritisch zu sehende Einsatz von (oft schlecht bezahlten) Zeit- und Leiharbeitskräften in Bereichen mit erhöhten Sicherheitsanforderungen bekommt so wieder Aktualität und Brisanz.

Es reicht also nicht, hübsche Richtlinien und Policies in die Welt zu setzen und dann der Dinge zu harren, die da kommen mögen. Es muss stattdessen der schwierige Spagat zwischen Autonomie der Benutzer und Überwachung der Einhaltung der Regeln gegangen werden. Ohne dass sich die IT in den Augen ihrer Nutzer vom Business-Enabler zu Business-Disabler entwickelt. Und damit bald darauf Opfer von Spardiktaten wird.

Denn das würde die Sicherheitslage nur verschlimmern. Einzelne verärgerte Mitarbeiter können im Unternehmen mehr Schaden anrichten als eine ganze Gang chinesischer Hacker im Dienste ihrer Regierung. Auch Nachlässigkeit bei Fragen der IT-Sicherheit kostet rasch bedeutend mehr als das Schaffen und Aufrechterhalten branchenüblicher Best-Practice-Standards auf aktuellem technischen Stand der Dinge.

Es lohnt sich also als Unternehmen seine Beschäftigten pfleglich zu behandeln und als ITler seine Anwender als Kunden und nicht als Störfälle mit Ohren zu betrachten.

Unabhängige Studie von Cisco beleuchtet weltweiten Umgang mit Sicherheitsrichtlinien im Unternehmen

Datenverlust: Cisco deckt die häufigsten Fehler auf

Ich nehm’ mir nur, was mir zusteht, oder: Psychologischer Vertragsbruch und kontraproduktives Verhalten

Der psychologische Arbeitsvertrag aus Sicht des Agency – Stewardship – Modells

Derzeit findet die IT-Fachmesse Systems 2008 in München statt. Dort kann man sich von 21.-24.10. über aktuelle Trends und Produkte der Business-IT informieren. Ich war die letzten beiden Tage dort, um mich über das Geschehen im Bereich IT-Sicherheit auf den neuesten Stand der Dinge zu bringen.

Zum Thema IT-Sicherheit gab es in einer eigenen Halle – der IT-Security Area – gesammelte Informationen, Ausstellungen und Vorträge der Anbieter und Verbände. Auf der dazugehörigen Website können diese Vorträge nachgelesen und heruntergeladen werden.

Ganz klar ersichtlich ist ein Megatrend: Compliance und alles was damit zu tun hat. Produkte, Tools, Beratungsleistungen etc. rund um Compliance, Planung und Durchführung von Awareness-Kampagnen, Standardisierung und Zertifizierung von Compliance-relevanten internen Abläufen, geführte und teilautomatisierte Entwicklung von Policies und e-learning-Lektionen für Mitarbeiter sowie die Vorbereitung (pre-assessment) von IT-Revisionen und ISO-Zertifizierungen wurden ausgestellt.

Auch ein weiteres Thema treibt die IT-Security-Community um: Data Loss Prevention (dlp). Immer mehr Datenlecks in Unternehmen sind weniger Malware und Hackern geschuldet als vielmehr Dummheit und Schlamperei. Zahlreiche Fälle hierzu gingen gerade in Deutschland in den letzten Monaten durch die Presse (und auch hier durchs Blog). Zur Eindämmung der Datenlecks wurden zahlreiche Produkte angeboten. E-Mail-Verschlüsselung, verschlüsselte Laufwerke, Content Protection, Enterprise DRM, Application Firewalls, besseres rollenbasiertes Rechtemanagement, sichere mobile Endgeräte, sichere Telekooperation, policy enforcement (automatisierte Durchsetzung von Schutzrichtlinien) sind nur einige der Schlagworte dazu.

In der Halle nebenan konnte man sich auch über aktuelle Entwicklungen in den Bereichen Linux und Open Source informieren. So stellte die Landeshauptstandt München etwa ihr LiMux-Projekt vor, durch das sie ihre interne Verwaltungs-IT weitgehend auf Linux umstellen wird.

Allerdings war dies absehbar die letzte Systems. Ab kommenden Jahr soll die IT-Messe durch eine Spezialmesse zu IT-Sicherheit sowie einen speziellen IT-Event mit Ausstellung, Kongressprogramm und Foren ersetzt werden.

Heise.de: Keine IT-Messe Systems mehr im Jahr 2009

Sehr viele schützenswerte Dinge werden in der EDV mit Passwörtern geschützt. Benutzerzugänge, kostenpflichtige Dienste, der Krypto-Container für sensible Daten, der Zugang zum Konto und Depot per Homebanking, der Zugang zu Internet-Diensten aller Art.

Passwörter werden eigentlich bereits seit Erfindung des persönlichen Computerzugangs verwendet. Und ebenso lange beschäftigen sich Leute damit, wie man an sie heran- oder an ihnen vorbeikommt.

Einer der Wege dazu besteht darin, sie durch systematisches Raten oder schlichtes Durchprobieren aller denkbaren Variationen („brute force attack“) herauszufinden. Das kann je nach verwendeter Passwortlänge Jahrtausende dauern. Zudem lassen viele Dienste nur eine begrenzte Zahl an falschen Anmeldeversuchen zu.

Passwörter werden aber immer irgendwo gespeichert. Meist (aber leider nicht immer) in verschlüsselter Form. Daher werden Hacker versuchen, sich diese Sammlung an verschlüsselten Passwörtern anzueignen, um sie dann auf einem Testsystem zu entschlüsseln.

So legen z.B. alle gängigen Betriebsysteme ihre Benutzerkontenpasswörter an einer bestimmten Stelle ab und verschlüsseln sie auf bestimmte Art und Weise. Weiß ein Hacker, welches Betriebssystem auf einem Zielrechner läuft, weiß er somit auch wo sich diese Passwörter befinden und wie sie verschlüsselt wurden.

Die Sicherheit verschlüsselter Informationen beruht allerdings darauf, dass niemand außer den legitimen Kommunikationspartnern den geheimen Schlüssel kennt. Doch kryptografische Verfahren kommen durch Fortschritte in der Kryptoanalyse zunehmend in Bedrängnis und die verwendeten Angriffe ermöglichen es, Schlüssel immer rascher zu errechnen.

Je nachdem wie ein Verschlüsselungsverfahren eingesetzt wird, lässt sich der geheime Schlüssel mit weiteren fundamentalen Angriffsmethoden deutlich rascher als mit Brute-Force-Angriffen finden. Diese Angriffe benötigen weniger Rechenzeit, müssen aber rechen- oder speicherplatzintensiver vorbereitet werden. Eine solche Angriffsvorbereitung ist das Anlegen eines Wörterbuchs zu einer bestimmten Nachricht, welches jedem Wert der verschlüsselten Nachricht den verwendeten Schlüssel zuordnet. Auf der Festplatte abgelegt wird das Wörterbuch als Schlüsselliste, deren Index den verschlüsselten Wert repräsentiert. Um mit ihr den geheimen Schlüssel zu finden, muss ein Angreifer das Zielsystem nur noch dazu bringen, die zur Liste passende Nachricht zu verschlüsseln. Dann kann er das Ergebnis als Listenindex verwenden. Diese Art von Hackerattacke wird daher Wörterbuchangriff genannt.

Das einmalige Generieren des Wörterbuchs benötigt allerdings in etwa so viel Rechenzeit wie ein Brute-Force-Angriff und ist daher nur sinnvoll, wenn sich der Aufwand durch viele damit durchgeführte weitere Angriffe amortisieren kann. Zudem verschlingt ein solches Wörterbuch enorme Mengen Speicherplatz, zum Beispiel 1536 Terabyte für 48-Bit-Schlüssel. Für 64-Bit-Schlüssel wäre bereits mehr Speicher nötig, als der Menschheit heute zur Verfügung steht. Wegen des hohen Platzverbrauchs sind Wörterbuchangriffe deshalb bei langen Schlüsseln sogar weniger praktikabel als Brute-Force.

Der Kryptograph Martin Hellman schlug daher erstmals 1980 einen praktikablen Kompromiss zwischen den beiden Extremen vor, der sich Zeitersparnis beim Angriff mit Platzverbrauch durch vorberechnete Daten erkauft. Als Begriff für solche Techniken hat sich “Time Memory Trade-Off” oder kurz TMTO eingebürgert. Ihnen liegt die Idee zu Grunde, das Wörterbuch nur teilweise oder komprimiert zu speichern und während der Schlüsselsuche die fehlenden Teile zu berechnen oder die Suche so oft leicht modifiziert zu wiederholen, bis ein Treffer im Wörterbuch erzielt wird.

Diese Verfahren wurde im Weiteren mehrfach optimiert, um Schwächen wie hohen Zeitverbrauch durch häufige Plattenzugriffe oder kryptografische Detailprobleme in den Griff zu bekommen. In der Fachwelt hat sich für die bereits erwähnten Wörterbücher zum Knacken verschlüsselter Codes der Begriff „Rainbow Table“ etabliert.

Seit ihrer Einführung sind TMTOs bereits erfolgreich gegen etliche Krypto-Algorithmen eingesetzt worden. Ein erstes Ziel waren die LM-Hashes von Windows-Passwörtern. Unabhängig von deren Länge speichert Windows ein lokales Nutzerkennwort in Blöcken zu sieben Zeichen, was zu der paradoxen Situation führt, dass ein Passwort mit zehn Zeichen unter Umständen schwächer ist als eines mit nur sieben Zeichen. Der Grund ist, dass der Hash über die letzten drei Zeichen sehr leicht zu knacken ist und der errechnete Klartext bereits Aufschluss über die ersten sieben Zeichen Passwortes geben kann.

(z.B. Hauptst*** statt Hauptstadt)

Ein frei verfügbares Tool, mit dem man TMTO-Verfahren auf dem eigenen Rechner ausprobieren kann, ist das quelloffene Ophcrack zu dem vorgenerierte Rainbow-Tables zum Teil kostenlos, zum Teil auch kostenpflichtig verfügbar sind.

Ophcrack-Projekt auf Sourceforge.net

Durch eine entsprechend aufwendigere Gestaltung der Verschlüsselung kann diese allerdings gegen TMTO-Angriffe gehärtet werden. Dazu wird die kryptografische Funktion oder ihr genauer Ablauf für jeden Einsatz verändert. Verschlüsseln zwei Benutzer die gleiche Nachricht mit demselben Schlüssel, sollten dann zwei unterschiedliche Ergebnisse herauskommen, so dass ein Rainbow-Table-Angriff fehlschlägt. Die Variation lässt sich beispielsweise dadurch erreichen, dass neben dem eingegebenen Schlüssel auch eine Benutzerkennung oder eine Geräte-ID als Parameter in die Verschlüsselung einfließt. Ein Angreifer müsste folglich für jeden Benutzer oder gar für jedes Gerät eine eigene Regenbogentabelle berechnen, was in der Regel deutlich aufwendiger ist als ein Brute-Force-Angriff.

Heisec.de: Kunterbuntes Schlüsselraten. Von Wörterbüchern und Regenbögen

sooooo!!! Hier isser also: MEIN REISEBERICHT: (achtung, lang)

Meine Füße sind zu kurz für anständigen Laptopbetrieb in der SBahn… soviel steht schon mal fest. Jetzt bin ich also tatsächlich unterwegs, morgens um 4 – und wessen schuld ist das? Na, dann wohl die desjenigen der sich beim Transrapid um die paar Milliarden verrechnet hat. Ich zuckel also Station für Station. Um die Zeit sind nur Urlauber, Gschwerl (bayerisch für Gesindel) und Flugpersonal unterwegs – und noch so’n paar Businesslookalikes wie ich…Ob sich das wirklich gelohnt hat den Laptop mitzuschleppen? Ich werds schon sehen, grad find ichs nett was zum tun zu haben – ich kenn ja diese SBahn – bin ja erst vor 6 Wochen mit ihr gefahren. Berlin, du bist so wunderbar, Berlin – da gibt’s auch noch nen Link den ich hier vorstellen will, das würd aber an dieser Stelle untergehen…. Coming soon.

Aber jetzt flieg ich ja nicht nach Berlin, oder nach Mallorca so wie wahrscheinlich die zwei neben mir, sondern ich flieg nach Hamburg um dann diesen ominösen Kielius zu erwischen – die Website find ich missverständlich, bin ja mal gespannt wie das so klappen wird.

Edit: 11Uhr – ich bin also da. Der Kielieus ist mit Bahncard sogar noch billiger. Und es sind viel mehr Leute als ich erwartet hätte: an die 600 Personen! Viele Anzugträger, aber der ein oder andere schräge Vogel sieht nach Blogosphäre aus. Und: ich bin nicht ganz die jüngste, so ne handvoll U35s sind wohl da. Zu den Vorträgen kann ich bisher nichts sagen, ich bin erst zur Kaffeepause hier gewesen. Der Vortrag von Herrn Dix soll wohl sehr spannend gewesen sein. Nach ein paar informellen Pläuschen ist eines klar: oh, aus der Sozialbranche?! Na, da sind wir ja bei einem ganz heißen Eisen.

In der zweiten Vortragsschiene wird die Forderung nach der Schaffung einer „digitalen Aura“ laut. Leider kann ich nicht ganz nachempfinden was der Vertreter des eigentlich Vortragenden vom BVDW eigentlich sagen will. Sein Beispiel: Gestern ist er Taxigefahren im Anzug und wegen des Anzugs hat er automatisch eine Quittung angeboten bekommen. Er mutmaßte, dass er die wohl nicht angeboten bekommen hätte, wenn er in zivil gefahren wäre und geht sogar noch einen Schritt weiter: Möglicherweise wär er ja gar nicht erst mitgenommen worden, weil sein zweifelhaftes Aussehen seine Bonität in Frage gestellt hätte. Er fands also prima, dass er nicht nach einer Quittung fragen musste und plädiert deshalb für die Erhaltung von Schicht/Personenbezogenen Daten um Dienstleistung zu ermöglichen. Das soll dann (s)eine Europäische Internetethik werden. Was aber, wenn ich in abgefuckten Klamotten sowohl Taxi fahren, als auch eine Quittung dafür angeboten bekommen möchte??

Nach ihm war ein wirklich guter Vortrag, zu dem ich Herrn Prof. Speck ausdrücklich an dieser Stelle gratulieren will. Den Vergleich von Social Networks und Stasi zu ziehen ist an sich naheliegend, kostet einen aber meistens die Glaubwürdigkeit, weil zu plakativ, bzw. fast schon polemisch. Er hat es aber über Humor und Sarkasmus mehr als auf den Punkt gebracht: Was da läuft und noch laufen wird, entzieht sich unserer Kontrolle.

Mit schon über einer Stunde timelag spricht danach der Innenminister von Schleswig-Holstein über „Gefahrenabwehr und Strafverfolgung“ – Motto wie schon bekannt „wer nichts zu verbergen hat, braucht sich ja keine Gedanken über potentielle Ermittlungen machen“ – pah! Gut dass ich wg. des Wahlkampf in Bayern grad sowieso keinem Politiker glaube.

Die Nachmittagsrunden – mir fällt jetzt das treffende Wort nicht ein – ein Workshop wars auf jeden Fall nicht – gingen schon – gut, bei den social networks hätte ich mir jetzt mehr erwartet als was man bei studiVZ so machen kann und dass es schon bei den Studigroups rund um Politik* hapert (WEN WUNDERTS?!). Wieder mal war die Devise: Gib bloß gar nichts an!! Ähnlich wie mein Report zur Website der Grünen ist die Bewahrpädagogik wieder die einzige Lösung die den Leuten einfällt. Da hab ich vom Stellvertretenden Beauftragten für Datenschutz aus Berlin irgendwie mehr erwartet.

*Er mokierte sich über das verfremdete Intellogo, das tausendfach auf tshirts durch die welt getragen wird; slogan: „geile drecksau inside“ (oder so… wie gesagt, tausendfach) von irgendner Fachschaft an ner FH…. Halt doch genau das wofür jemand diesen laden erfunden hat!

In der zweiten Infobörse (so hieß es) hab ich mir „Identitätsmanagement“ angehört. Als ich in den Saal reinwollte kam mir erstmal ne Menschentraube entgegen und meinte „das ist der Theorie und Forschungsteil – das Praktische is im Keller“  – wunderbar, da bleib ich doch lieber bei der Theorie bevor ich mir noch ne Runde erhobenen Zeigefinger antue.
Vorgestellt wurden die EU Programme PRIME und die zwei andern Namen muss ich morgen im Büro noch mal nachchecken, die ich recht gut fand. Ich bin gespannt ob das entwickelte Tool zum personal Identitätsmanagement es bis zur Betaversion schafft. Und schade, dass die ganze Zeit die Türe auf und zu ging und der Kaffeepausenfoyerlärm ein Zuhören schwierig machte.

Die Podiumsdiskussion wär sicher noch spannend gewesen, aber mangels Zeit und wg. schlechter Busverbindungen hab ich sie auslassen müssen. Als ich dann nach nem weiteren grässlichen Kaffee mit noch grässlicherer Unterhaltung (Warum denken die Nordlichter eigentlich so übel über uns Bayern und Münchner/innen?) die Flucht ergriffen hatte und auf den Bus wartete, da ist mir ne generelle Überlegung anhand einer real passierten Situation gekommen:

Eine junge Mutter mit Kleinstfilius im Kinderwagen und einem Mädchen um die 4 Jahre alt, auf einem Laufrad, ging an der Bushaltestelle vorbei. Schon fast wie man es bei der Abrichtung von Hunden kennt, hat Mama dafür Sorge getragen, dass die Kleine am Bordstein Stopp(ich gewöhne mich nie an die 2 PP) macht, sich dann links und rechts umsieht und wenn kein Auto kommt, weiterrollert.
Die Kleine war wenig begeistert, denn es kam kein Auto und es ging prima bergab. Noch dazu hatte das Laufrad keine Bremse, so dass sie ihre kurzen Beinchen in den Asphalt stemmen musste.
Dass man an der Straße (zumeist) nicht überfahren wird, sondern erst links und rechts schaut, haben wir wohl genau diesem Konditionierungsmechanismus zu verdanken. Auch wenn in dem Moment kein Auto kommt – Grundregel bis ein gewisses Alter erreicht ist, ist „bleib stehn“. Irgendwann fangen wir Menschen dann an, die Entscheidung, ob wir an der Straße nun stehen bleiben müssen, selbst zu treffen – hoffentlich mit Erfolg. Was aber, wenn das auf was wir da konditioniert werden gar nicht mehr passt? Was wenn uns vorherige Generationen überhaupt nicht darauf vorbereiten können, wie die Verkehrslage in der Zukunft ist?

Wenn das Stopp an der momentan leeren Straße, das wir Datenschützer jetzt grade versuchen allen Usern einzubläuen gar nichts nutzt? Wir können unsern Bürger/innen schon lernen links und rechts zu schauen – die Entscheidung loszugehen trifft aber jeder dann doch noch selber – zumindest wenn er volljährig ist. (Und wenn nicht, dann erst Recht, denn wer kann schon alles kontrollieren, was die lieben kleinen im Internet machen? Eltern sind doch mit der Informationsgesellschaft sowieso überfordert, was also tun? – oft gestellte Frage im Tagungsverlauf…)

Größtes Problem an meiner kleinen Metapher: kein Mensch weiß was diese Straße eventuell runter kommen kann. Wir können unsern Kindern (und uns selber) soviel „erst schauen, dann gehen / erst AGBs lesen, dann registrieren“ beibringen wie wir Lust haben – das was diese Gasse runterkommen wird liegt, denke ich zumindest, jenseits unserer Vorstellungskraft. Sozusagen ne gesammelte Datenflut, die den Einzelnen profiled, so gut sie kann und dennoch das Individuum so dermaßen globalisieriert, dass er/sie/es ein Tropfen im Meer ganzer Tetrabytes ist.

Bevor das jetzt alles zu blumig wird: Kann nicht im nächsten Jahr die Sommerakademie der Datenschutzakademie mit den Gautinger Internettagen zusammengelegt werden? Und wo waren eigentlich die Communityfuzzis selber heute?? Ich hab so ne Vermutung…. Dann kann der Forderung nach einem verpflichtenen Internetführerschein für Kinder mit dem Finanzierungsdruck der Medienpädagogen begegnet werden und die Unkenrufe über das böse und gefährliche Internet wie die apokalyptischen Posaunen erschallen.

AKKU LEER hoffe ich finde am Flughafen ne Steckdose…nix is! NIRGENDS…

So – jetzt wieder zu Hause, keine Hunde und Wölfe, die wie ein Junges ihre Daten – neeee, ihre Policy schützen mehr. *durchatme*
Puh, ist das lang geworden. Aus Sozialverträglichkeit hab ich versucht die Kommas zu planen, obs mir gelungen ist… hmm – give me a comment.

Ein letztes Feedback zur Veranstaltung: Wenn nach einem Thema wie „Internet und Datenschutz“ am Abend der Tagung die Sachen nicht online stehen, dann hat jemand was grundsätzlich am Internet nicht verstanden.

In diesem Sinne
Die besten „wieder was gelernt“ Grüße

Wer schläft sündigt nicht – die gilt leider immer weniger für Benutzerkonten. In vielen Firmen existieren Benutzerkonten ausgeschiedener Mitarbeiter noch lange weiter. Oder die Administratorrechte eines zum IT-Leiter beförderten früheren Systemverwalters begleiten ihn noch bis zur Rente.

Der (wohl nicht ganz uneigennützig handelnde) Anbieter von Werkzeugen zur Rechte- und Nutzerverwaltung Econet AG hat zusammen mit ICM Research eine Studie erstellt, in der man zu der Erkenntnis kam, dass insbesondere die manuelle Pflege von Nutzerrechten eine Sicherheitslücke darstellt. Weil da eben schnell was vergessen oder verschlampt wird und so Sicherheitslücken entstehen, die sich durch Identitätsdiebstahl oder Missbrauch ausnutzen lassen. Besonderes Augenmerk verdienen dabei sog. „Schlummerkonten“,. D.h. Konten von Beschäftigen die zwar nach wie vor im Unternehmen angestellt sind. Die aber aufgrund von Urlaub, Elternzeit, Mutterschutz, Auslandsentsendung usw. längere Zeit nicht im Rahmen ihrer normalen Aufgaben auf die dazu nötigen Systeme zugreifen. Oft geraten solche Konten „aus dem Blick“ und werden zum potentiellen Einfallstor von Hackern.

„Oft wird übersehen, dass ein aktives Benutzerkonto eine Gefahr darstellen kann, denn es ist nicht gewährleistet, dass der rechtmäßige User selbst auf die für ihn freigegebenen Daten zugreift. Im Gegenteil: Ist dieser eine Zeit lang abwesend oder bereits aus dem Unternehmen ausgeschieden, können seine Zugriffsberechtigungen von anderen genutzt und für unlautere Zwecke missbraucht werden“ (Max Peter, CEO und Vorstandsvorsitzender der econet AG).

Econet schlägt daher vor, Benutzerkonten und –rechte zentral durch automatisierte Tools und Prozesse zu verwalten. Ein solches System dokumentiert die Verwaltung der digitalen Identitäten revisionssicher, macht Vergabe und Entzug von Zugriffsberechtigungen nachvollziehbar und garantiert so die Einhaltung von Compliance-Vorgaben.

Am 8. Mai (und nicht morgen) fängt der 13. Trendtag in Hamburg an, veranstaltet vom Trendbüro. Das Topthema lautet “Identitätsmanagement”, Richard Florida ist Keynote-Speaker.

Der Untertitel dieser Veranstaltung heißt “Anerkennung statt Aufmerksamkeit”, und obgleich diese Selbstbesinnung der Aufmerksamkeitsökonomie absolut ins Schwarze trifft, bleibt die Frage, ob es tatsächlich mehr ist als bloß terminologische Mode, mehr als eine Ökonomie des Populären.

Denn so sehr erfolgreiches Identitätsmanagement darauf angewiesen ist, daß es Wechselwirkung gibt, ein Geben und Nehmen, Identitätsergatterung und Anerkennungsgewährung zugleich – da ohne hinreichende Anerkennung des Anderen sich dessen Identität nur unzureichend ausbilden kann, schlimmstenfalls sogar Stigmatisierung droht und wir dann “Über Techniken der Bewältigung beschädigter Identität” (Goffman) sprechen müßten -, so sehr steht in Frage, gerade wenn es um das Management von “Commercial Communities” geht, ob auch nur ansatzweise durchschaut wird, welches Ausmaß an Selbstverpflichtung damit einhergeht, nicht nur Aufmerksamkeit, sondern Anerkennung aufzubringen. Anders formuliert: Das Management von Identität durch Anerkennung ist vor allem eine Herausforderung an die Identität des Managements.

Besonders heikel wird dies, wenn es um die Illusion der Anerkennung als Person geht. Denn dies war bislang das Monopol der Familie. Und es gibt wohl kaum ein aufwändigeres Unterfangen, als einer Person als solche umfassende Anerkennung zuteil werden zu lassen. Nichts ist kostenintensiver, nichts riskanter.

Welches Verständnis von Anerkennung wird morgen also zur Debatte stehen? Welcher kleinster gemeinsamer Nenner wird am Ende des Tages übrig bleiben, wenn das operative Geschäft seinen Tribut zollt? Was bleibt, wenn sich der Trendtagungsnebel verzogen hat?